Дмитрий Сабитов: Хакерские группировки требуют за прекращение DDoS-атак от 300 тысяч рублей и выше

Дмитрий Сабитов: Хакерские группировки требуют за прекращение DDoS-атак от 300 тысяч рублей и выше

Дмитрий Сабитов

В 2009 году закончил МГУ по специальности Экономика. В университете и после был активным участником международных молодежных объединений JCI и AIESEC. 

В 2009-2010 годах руководил проектом бесплатных онлайн-дневников для школ.  С 2010 по 2011 год — руководитель компании entertaimentchair.tv (специализация — разработка приложений для SMART TV). 

С 2011 года по текущий момент — коммерческий директор и сооснователь DDoS-GUARD, руководит продажами, маркетингом и взаимодействием с ключевыми клиентами.

Жизненное кредо: «Возможно все, что можно представить».

...

На вопросы Anti-Malware.ru любезно согласился ответить Дмитрий Сабитов, коммерческий директор DDoS-GUARD. Это интервью продолжает цикл публикаций "Индустрия в лицах". 

 

Компания DDoS-Guard не слишком широко известна. Расскажите, когда и кем она была основана.

Мы работаем с 2011 года. Компания была организована группой IT-энтузиастов, и мне посчастливилось быть одним из них. Идейным же вдохновителем и архитектором нашей системы является Евгений Марченко, наш генеральный директор.

В свое время по стечению обстоятельств Евгений тесно столкнулся с проблематикой DDoS-атак, после чего всерьез занялся поиском «лекарства» от этой напасти. Буквально в то же время я познакомился с Евгением на ниве разработки приложений для телевизоров со SMART TV. Я в то время руководил одной из компаний, которая вела разработку, а Евгения мне рекомендовали как крайне грамотного специалиста.

После того как мы познакомились ближе, Евгений рассказал мне о своей новой страсти (борьбе с DDoS-атаками), и мы решили монетизировать имеющиеся наработки. Уже тогда мы знали, что краеугольным камнем IT-компании нашего профиля должны быть передовые технологии, лучшее оборудование и высококвалифицированные сотрудники.

Какие задачи первоначально ставились перед компанией, и как они изменились сейчас?

Мы хотели создать IT-компанию, работающую по страховой модели, с минимальными рисками для клиентов, которая могла бы предоставлять высококачественные услуги по доступной цене. Если защита Qrator Labs — это продукт бутиковый, то себя мы оцениваем как супермаркет. Тем не менее, мы прикладываем все усилия, чтобы уровень оказываемых услуг стремился к мировому при сохранении доступных цен. Мы считаем, что в вопросах информационной безопасности не может быть компромиссов и «защита от 80% атак за 20% стоимости» — это не наш принцип.

Как вы оцениваете российский и мировой рынок защиты от DDoS-атак (в деньгах, перспектива для бизнеса)?

Аналитики из IDC оценивают глобальный рынок решений для защиты от DDoS-атак в 657,9 млн долл. в 2015 г., а к 2018 году прогнозирует рост до 944,4 млн долл. Подобных данных по российскому сегменту из независимых источников, увы, нет. Но мы видим, что все больше различных структур в России, в том числе государственных, задумываются о защите от DDoS-атак и начинают закладывать в бюджеты суммы на подобные статьи расходов. Огорчает тот факт, что 99% закупок соответствующих услуг организуется под конкретного поставщика. В лучшем случае это приводит к нарушению конкуренции, монополизации рынка и ухудшению качества услуг, в худшем — деньги просто утекают за рубеж, способствуя развитию мировых IT-гигантов.

Появляются и новые игроки, но их стратегия развития, как правило, сводится к демпингу: защита почти даром, без гарантий, без адекватной поддержки, без договора. Спрос на подобные услуги остается обычно до первой серьезной атаки, после которой клиент снова оказывается перед выбором.

Не слишком ли много в России компаний, которые защищают от DDoS? Рынка на всех хватит?

Компаний много. А заслуживающих доверия — мало. Собственно, это мы и наши главные конкуренты: Qrator и «Лаборатория Касперского». Те, о которых пишут в СМИ, кто публикует отчеты о своей деятельности, участвует в конференциях и выставках. Это если говорить именно о российских игроках рынка. Плюс в РФ представлены такие «монстры» отрасли, как Arbor, Incapsula, Akamai. Но у них другие схемы работы и расценки.

Как потенциальному клиенту отличить реальную защиту от DDoS от «маркетинговой пустышки»?

Компании-пустышки имеют малоинформативные сайты, наполненные громкими заявлениями без каких-либо количественных показателей и гарантий. Важным фактором также является наличие описания технического решения, используемого для оказания услуг. В большинстве случаев те, кто скрывает эту информацию о себе, всего лишь используют арендованное или купленное в кредит фильтрующее оборудование известных вендоров, с минимальным количеством центров очистки, а то и перепродают услуги зарубежных компаний. Очевидно, что качество сервиса и возможности предложить услугу под конкретного клиента у них будут весьма сомнительными.

Спросите у консультанта такой фирмы про фильтрующую сеть, про дата-центры, где стоит оборудование, про объемы каналов — ничего конкретного не услышите в ответ.

 Почему так сильно отличаются цены на услуги у разных поставщиков? Может ли быть качественная защита по доступной цене даже для среднего бизнеса?

Стоимость зависит от многих факторов, но главный — это себестоимость фильтрующего оборудования. Если отечественная компания работает на фильтрах собственной разработки, то и цены можно установить соответствующие рынку. А если закупила оборудование за границей, например у Arbor, то цены будут установлены исходя из необходимости покрытия расходов, а не рыночной конъюнктуры. Если говорить о реселлерах (те же ProtoSecurity — официальный реселлер Incapsula в России), то конечная для пользователя стоимость зависит от курса валюты. Принцип такого бизнеса прост: купи дешевле, продай дороже, разницу положи в карман, а все претензии — к поставщику.

Способов покрытия расходов существует масса, но особенно остро встает вопрос, когда отсутствуют возможности выстоять в честной конкурентной борьбе. Не буду вдаваться в подробности PR-технологий, но обращу внимание читателей на различные системы наценок и скрытых платежей. Например, за превышение лимита входящего паразитного трафика. Просто внимательнее вчитайтесь в коммерческие предложения, особенно в то, что напечатано мелким шрифтом — вас могут ожидать неприятные сюрпризы.

Нам иногда советуют придумать более «легкие» тарифы, подстроиться под конкретный сегмент рынка. Но демпинг — не наша политика. Мы настроены на долгосрочные партнерские отношения. Мы предлагаем бесплатный тестовый период, чтобы оценить нашу защиту. Мы не берем доплату за подключение, за настройку, за незначительные переборы трафика. У нас надежное оборудование и отличные специалисты. Мы знаем рынок и считаем свое предложение оптимальным. Сможете найти такой же уровень защиты дешевле — обращайтесь. Уверен, что мы договоримся.

Многие хостеры, дата-центры, классические операторы связи предлагают очень дешевую защиту. В чем секрет?

Она дешевле потому, что неполноценна. Как правило, она представляет собой комплекс отдельных механизмов защиты, направленных на борьбу с атаками конкретных видов. Приоритезация трафика, блокировка трафика определенных источников, FlowSpec и аренда вендорских железных решений — их стандартный набор, предлагаемый клиентам. Как и когда использовать эти средства — решает клиент. Но даже подключенные одновременно все перечисленные средства не обеспечат гарантированной защиты от DDoS-атак. Мы даже встречали такой рекламный лозунг «80% защиты за 20% стоимости». Так вот, 80% или даже 99% — это такая же защита, как дырявый зонт в сильный ливень. Такой зонтик могут продавать по смешной цене — но какой в нем толк?

Профессиональные хакеры — не дураки, они быстро найдут незащищенные места и будут бить именно по ним, а деньги клиента, хоть и небольшие, в лучшем случае будут возвращены в обмен на молчание.

Насколько компании в России и в мире понимают угрозу DDoS-атак и заинтересованы в мерах защиты?

На Западе к этой угрозе относятся очень серьезно. Кибербезопасность начинается именно с надежной защиты от DDoS-атак как от основной киберугрозы. Смысл шифровать данные, если пользователи вообще потеряют к ним доступ?

В России же понимание опасности приходит к тем, кто уже пострадал и понес убытки от простоя. Чем больше случаев атак освещают в СМИ, чем больше защитников публикуют свою статистику — тем больше руководителей, IT-специалистов задумываются о превентивной защите.

Когда рынок созреет насколько, что защиту от DDoS будут покупать не как лечение от жуткой напасти, а как медицинскую страховку?

Тяжело прогнозировать. Компании, любые — это прежде всего люди. И все зависит от менталитета тех людей, которые занимают руководящие посты. Одни предпочитают превентивную защиту, другие же надеются на авось. Еще один аргумент, который мы часто слышим: «Наш сайт вряд ли заинтересует хакеров». Да, возможно вы правы, но жертвой может стать ваш хостинг-провайдер, и тогда «лягут» все. Конечно, хостинг без защиты дешевле. Бесплатный хостинг — вообще замечательно! Но не для серьезных компаний, для которых сайт – это не просто визитка в интернете, а значимая часть бизнес-процесса.

Стоит понимать, что чем крупнее и известнее ваш сайт, будь то общественно-политическая газета, игровой форум или личный блог о мыловарении, тем больший интерес он представляет для злоумышленников. Хакерские группировки требуют большой выкуп за прекращение DDoS-атак — от 300 тысяч рублей и выше. Не так давно нашим клиентам, Рег.ру, приходили такие угрозы. Понятное дело, что выкуп никто не платил и ресурс нормально работал под атакой. А вот сервис криптопочты ProtonMail недавно рухнул. От нашего предложения помочь они отказались, потом мы прочитали, что они предпочли заплатить выкуп биткоинами. Нам такая позиция совершенно не понятна.

Разве не разумнее потратить деньги на хостинг или выделенный сервер с защитой? С заключением договора, с гарантиями? Тем более что у нас защиту можно подключать на произвольный период и в том числе во время атаки. И это будет защита от любых DDoS-атак, а не от конкретной хакерской группировки.

С технической точки зрения, что представляет собой ваша услуга защита от DDoS?

У нас есть собственная геораспределенная сеть фильтрации нашей разработки с узлами в России, Нидерландах и Германии (в ближайшее время мы планируем запустить узлы в США и Японии). Через эту сеть проходит трафик клиента из интернета, анализируется, очищается и доставляется клиенту. Способов подключения масса: от логических линков (виртуальных туннелей и VPN) до физических линий.

Если говорить про удаленную защиту отдельного сайта, то механика предоставления услуги следующая: клиент перенаправляет трафик (меняет А-записи DNS) на наши кластеры фильтрующих серверов, и после обновления записей в корневых DNS-серверах трафик к клиенту начинает идти через нашу систему очистки. Все просто. Для максимальной защиты мы предлагаем своим клиентам хостинг, аренду серверов и размещение оборудования под нашей защитой.

Суть же одна — весь трафик идет сначала в нашу сеть, проходит через фильтры и уже чистенький и безопасный попадает в пункт назначения. Геораспределение в данном случае — очень важный момент, т. к. это позволяет минимизировать задержки трафика. Для конечного пользователя они столь ничтожны, что он ничего не заметит. В качестве бесплатного, но достаточно важного дополнения мы предлагаем сервис CDN, который подразумевает кеширование контента со всеми преимуществами. Таким образом, мы сделали максимум, чтобы наша защита никак не влияла на скорость загрузки защищенного сайта у конечного пользователя.

На какие сегменты рынка она рассчитана и сколько у вас уже клиентов в России? Есть ли клиенты за рубежом?

У нас очень большая база клиентов, конкретные цифры я не могу назвать из соображений сохранения коммерческой тайны, но их тысячи, как в России, так и за рубежом — в Европе, Китае, США, Канаде, Казахстане, Италии и других странах. Самые известные наши клиенты — это хостинг-провайдеры и СМИ: Рег.ру, АиФ, «Эхо Москвы», Trud.ru, Serverclub. Есть и государственные заказчики, например Единая транспортная дирекция, правительство Карачаево-Черкесской республики. Есть и частные компании. Бесплатно мы защищаем социально значимые проекты — RuTracker.org, OmbraBianca (сайт под патронатом Папы Римского) и многие другие.

Зачем клиенту подписываться на ваш сервис, если есть услуги от оператора связи по модели SaaS (Security as Service)?

Собственно, мы и есть тот самый оператор связи, с лицензией и собственными сетями, работающий по модели SaaS. Но наше преимущество — узкая и глубокая специализация в вопросе защиты от DDoS.

Кроме того, всегда есть возможность подключить наши услуги, оставшись и у прежнего провайдера. Вопрос сводится к тому, что рациональнее: получать много услуг от одной компании, или же каждую — от отдельной, но специализированной?

Кратко, в чем преимущества ваших услуг в сравнении с конкурентами, например с  Qrator, «Лабораторией Касперского» или Prolexic?

У «Лаборатории Касперского» есть решение от DDoS-атак, но они не специализируются именно на этом вопросе. Решение это очень дорогое и очень ограничено лицензионным договором. Само по себе оно представляет программный продукт, устанавливаемый на оборудовании клиента для анализа трафика, который, в случае необходимости, может предпринять определенные действия. Больше сеть — больше лицензий, несмотря на то, сколько трафика вы передаете по факту. Кроме того, вчитайтесь в их отчеты и сравните со статистикой Arbor или нашей — цифры гораздо ниже. Никто не льет на их клиентов более 200 Гбит/сек. Выдержат ли?..

Qrator тратит много ресурсов на PR как самого бренда, так и руководителя. Они преподносят свой продукт как элитный, а за раскрученность торговой марки всегда в итоге платит клиент. Также вызывает недоумение предложение доплаты за атакующий трафик. Мы же в свою очередь делим риски между всеми своими клиентами, а у нас их тысячи, поэтому мы можем гарантировать доступные цены в любой кризис.

Prolexic же, строго говоря, больше и не существует. Эту компанию поглотил гигант мирового телекоммуникационного рынка — Akamai Technologies — поставщик услуг для акселерации веб-сайтов, провайдер платформ доставки контента и приложений. Их специализация — это CDN. Нам трудно сравнивать себя с таким крупным всемирным игроком. Пожалуй, можно лишь отметить, что мы ближе российскому потребителю и наши цены доступнее.

На ваш взгляд, важны ли технологии и ноу-хау для защиты от DDoS-атак, или здесь у всех все примерно одинаково и отличия лишь в каналах и вычислительных мощностях?

Важны и каналы, и вычислительные мощности. Но еще важнее — способность максимально быстро внедрять новые алгоритмы вычисления. Ведь хакеры постоянно придумывают что-то новое. В теории, для организации DDoS-атак можно использовать любые устройства, подключенные к интернету, хоть кофеварку. Недавний прецедент с видеокамерами — тому подтверждение.

Наши инженеры постоянно занимаются мониторингом атак и модернизацией системы защиты, разработкой и внедрением новых вычислительных алгоритмов. У многих же «защитников» инженеров в принципе нет. Зачем держать большой штат, если просто перепродаешь чужой сервис? Вот такая защита однажды может подвести, и техподдержка, которая занимается только подключением, ничем не сможет помочь.

Какие планы у компании по развитию услуг на ближайшее время?

Мы разрабатываем уникальное решение для банковской сферы, расширяем свой бизнес, открывая новые страны. Подробностей раскрывать не будем — наши конкуренты не дремлют, а нам хочется их удивить, а не подкинуть свежих идей.

Как, на ваш взгляд, эволюционировали DDoS-атаки за последние несколько лет?

Они стали мощнее и сложнее. Сейчас для организации часто используются выделенные серверы, а не только ботнеты. Серверы генерируют очень мощный, но кратковременный поток трафика. Сегодня атаки в 100 и 200 Гбит/сек. — обыденность. В то время как пару лет назад атака 20 Гбит/сек. считалась очень серьезной. С другой стороны, продолжительность мощных и супермощных атак падает. Нередки комбинированные атаки, когда жертву заливают непрерывным потоком «мусора» с внезапными сильными «тычками».

Сегодня провайдеру защиты нужны широкие каналы, чтобы принять и отфильтровать такой поток. У нас они есть. Емкость наших каналов — 1,5 Тбит/сек. И нас весьма забавляет реклама от хостеров и фирм-пустышек, обещающая защиту от атак в 20-30 Гбит/сек. Мы-то знаем, что это слабые атаки, а вот клиенты, увы, не всегда.

Возвращаясь к тенденциям. Появились вымогатели с мощными ресурсами, которые могут реально «положить» жертву, а не только запугать. Усложняются атаки на уровень приложений. Все труднее становится отличить запрос вредоносного бота от легитимного, алгоритмы усложняются. Но и наши инженеры не дремлют.

Какие наиболее крупные DDoS-атаки фиксировались вашей компанией (примеры)?

Пока что рекорд — 238 Гбит/сек. Это если говорить о мощности. Если о продолжительности, то это две недели. Более подробную статистику вы можете найти в нашем квартальном отчете.

Какие компании в России, на ваш взгляд, наиболее подвержены DDoS-атакам? Кто находится в основной группе риска?

Интернет-СМИ, серверы онлайн-игр, банковские структуры, хостеры, системы электронных платежей, интернет-магазины. Все, чья работа и прибыль зависят от доступности интернет-площадки, чья инфраструктура зависит от интернета.

Можете привести примеры наиболее интересных с технической точки зрения DDoS-атак в 2015 году?

Кроме уже упомянутой ранее объемной атаки мощностью 238 Гбит/сек., можно отметить атаку 19.09.2015 г., представляющую собой смесь наиболее опасных видов DDoS-атак. В течение 4 часов мы зафиксировали и распределенные по атакуемой подсети TCP SYN-flood атаки мощностью 55 млн пакетов в секунду, и атаку фрагментированными пакетами, и усиленный UDP-flood мощностью выше 180 Гбит/сек. В общем, исполнители явно подготовились и старались как могли, но, к сожалению для них, ресурс остался доступен.

Что бы вы пожелали вашим текущим и потенциальным клиентам?

Чтобы бизнес наших клиентов развивался и не ощущал влияния недобросовестной конкуренции, а мы в свою очередь будем заботиться об этом. А будущим клиентам мы рекомендуем адекватно оценить возможные потери от простоя интернет-ресурса и принять правильное решение. 

Спасибо за интервью и творческих успехов!